This page has been robot translated, sorry for typos if any. Original content here.

Nous levons VPN + facturation UTM5 sur win2003



  • 1. Installation et configuration du routage et de l'accès distant
  • 2. Installation de UTM
  • 3. Configuration de UTM
  • 4. Fichiers


  • Ainsi, où commencer à implémenter le paquet VPN + UTM5 sur Windows Server 2003. Avant de commencer à configurer RASS, vous devez vérifier si IAS (Internet Authentication Service) est installé. Pour vérifier cela, vous devez aller à l'installation / désinstallation des programmes sur le panneau de contrôle dans la section INSTALLATION DE WINDOWS COMONS et voir la composition des composants des services de réseautage. Si ce service est installé, décochez-le (désinstaller). Ce service est quelque chose d'autre, comme Windows-RADIUS. Il est clair que 2 serveurs RADIUS (UTM-RADIUS et Windows-RADIUS) ne peuvent pas fonctionner sur un ordinateur, car utiliser les mêmes ports pour le travail. Par conséquent, lorsque le service IAS est installé, UTM-RADIUS ne démarre tout simplement pas.

    Un autre service qui interfère avec le bon fonctionnement de UTM, plus précisément Apache, est le service World Wide Web qui fait partie du composant Windows Application Server du groupe de services Internet Information Services (IIS). Il doit également être désinstallé, sinon Apache ne démarre pas, car ce service utilise 80 ports. Si le serveur a besoin d'un serveur WEB, il peut remplacer le même Apache, en utilisant le 80ème port. UTM fournit un accès utilisateur aux statistiques sur le protocole HTTPS, et il se connecte au port 443 avec un cryptage basé sur un certificat. Vous pouvez, bien sûr, installer Apache sur le port 8080, mais pourquoi deux serveurs WEB sur un seul ordinateur?

    Le serveur ne doit pas avoir SQL Server ou MySQL installé.
    Après avoir désinstallé ces services, vous pouvez commencer l'installation et la configuration de RASS.

    1. Installation et configuration du routage et de l'accès distant


    1.1. Exécutez l'assistant d'installation RASS.

    1.2. Nous rejetons tous les schémas standard et choisissons le mode de réglage manuel. Il semble qu'il soit le dernier dans la liste des options offertes par le maître.
    1.3. Après avoir démarré RASS, nous commençons à le configurer.

    1.4. Nous allons dans les propriétés du serveur RASS (clic droit sur l'icône du serveur avec la flèche verte et sélectionnez PROPRIETES).

    1.5. Sur l'onglet GÉNÉRAL, sélectionnez RÉSEAU LOCAL ET BANC ROUGE par BESOIN et le SERVEUR D'ACCÈS À DISTANCE, cliquez sur OK et redémarrez RASS.

    1.6. Encore une fois, accédez aux propriétés du serveur RASS dans l'onglet SECURITE.

    1.7. Ici, au SERVICE D'INSPECTION
    AUTHENTIFICATION nous spécifions l'authentification RADIUS et nous appuyons sur le bouton SET et dans la fenêtre ouverte, nous appuyons sur le bouton ADD.

    1.8. Si UTM-RADIUS est installé sur le même ordinateur, alors dans le champ SERVER NAME, écrivez - 127.0.0.1. Si UTM-RADIUS se trouve sur un autre ordinateur, spécifiez son adresse IP.

    1.9. Dans le champ SECRET, pressons le bouton CHANGE et écris - secret et confirme à nouveau.

    1.10. Nous ne touchons pas au temps mort, à l'évaluation initiale et au port. Le port doit être 1812. Assurez-vous d'UTILISER TOUJOURS le CERTIFICAT DE MESSAGE et cliquez sur OK.
    1.11. Maintenant, dans le service de comptabilité, sélectionnez RSDIUS Comptabilité et cliquez sur le bouton SET.

    1.12. Dans la fenêtre apparue, appuyez sur le bouton AJOUTER.

    1.13. SERVER NAME est également 127.0.0.1, Secret est secret, le port est 1813, le délai d'attente et le classement initial sont laissés par défaut, la coche RADIUS MESSAGE n'est pas définie pour activer / désactiver la comptabilité. Appuyez sur OK.
    1.14. Nous utiliserons PPTP pour les connexions VPN, par conséquent, nous ne serons pas intéressés par la résolution des politiques IPSEC de l'utilisateur pour la connexion L2TP, et nous ne le ferons pas.

    1.15. Allez dans l'onglet IP. Ici en général une chose très intéressante.

    1.16. D'abord nous mettons toutes les cases qui sont sur cet onglet (il y en a trois).
    1.17. En tant qu'adaptateur permettant d'obtenir des adresses DHCP, des serveurs DNS et WINS pour les clients VPN, nous sélectionnons l'adaptateur de l'interface qui apparaît sur Internet. Il va diffuser toutes les demandes aux utilisateurs VPN.

    1.18. Maintenant, le plus intéressant. Pour que l'interface interne RASS reçoive l'adresse IP qui sera utilisée comme serveur IP lors de la connexion du client VPN via le protocole PPP via le tunnel PPTP, dans la section NOMINATION DES ADRESSE IP, sélectionnez POINT D'ADRESSE STATIQUE et spécifiez cette adresse IP ici. Mais, la valeureuse entreprise Microsoft a décidé en quelque sorte que RASS ne fonctionnera qu'avec Windows-RADIUS et sans plus. Par conséquent, lors de la spécification d'un pool d'adresses statiques, Microsoft a écrit une vérification du nombre d'adresses dans le pool et a décidé qu'il devrait y en avoir au moins deux. Cela n'est vrai que lorsque vous travaillez avec Windows-RADIUS, où les adresses IP du client et du serveur proviennent de ce pool. Dans notre cas, seule l'adresse du serveur provient de ce pool et l'adresse est assignée au client par UTM. À première vue, il n'y a pas de problèmes. Si ce n'était pas pour les utilisateurs moyens. Comme le montre la pratique, si un utilisateur donne à un autre son identifiant et son mot de passe pour le VPN et qu'ils se connectent en même temps, le premier qui se connecte reçoit l'IP d'UTM et le second de ce pool. Le problème est que le trafic sera pris en compte uniquement sur l'adresse IP enregistrée dans UTM, et le deuxième utilisateur sera assis gratuitement. Mais tout n'est pas si mauvais. Nous quittons les propriétés du serveur RASS (cliquez sur le bouton OK ci-dessous). Nous attendons le bouton Démarrer, puis Exécuter et écrire la commande

    netsh ras ip ajouter une plage 192.168.2.254 192.168.2.254

    Encore une fois, nous allons dans les propriétés du serveur RASS dans l'onglet IP et observer là un pool statique d'une adresse 192.168.2.254. Le problème est résolu. En passant, le réseau que nous utiliserons pour VPN sera - 192.168.2.0/255.255.255.0.

    1.19. Nous allons à l'onglet PPP et enlever la coche des points CONNECTIONS MULTI-CANAUX et COMPRESSION LOGICIELLE. Nous avons coché l'élément EXPANSION du PROTOCOLE DE CONTRÔLE DE COMMUNICATION (LCP).

    1.20. Allez à l'onglet GESTION JOURNAL. Nous sélectionnons l'article NOUVELLES MAGAZINES ERREURS ET MISES EN GARDE. Il est nécessaire à titre d'information de savoir qui et quand connecté à RASS sur VPN. Le journal des informations supplémentaires est inutile.

    1.21. Vous devez maintenant configurer les ports virtuels pour les connexions VPN.

    1.22. Allez dans les propriétés des ports (faites un clic droit sur les PORTS et sélectionnez PROPRIETES).

    1.23. Configurez séquentiellement chaque type de port dans la liste Sélectionnez L2TP et poke dans SETUP. Supprimez toutes les coches et définissez le nombre maximal de ports à 0. Sélectionnez PPPoE et cliquez sur SETTING. Nous supprimons toutes les coches. Choisissez PPTP, cliquez sur SETUP. Nous activons la case à cocher ENTRANT, désélectionnez INPUT et OUTPUT. Le nombre maximum de ports est fixé à 128. (Ceci est combien de personnes peuvent se connecter au VPN en même temps.) Si vous n'en avez pas besoin, vous pouvez en mettre moins.) Sur la météo, cela n'affecte pas.) Sélectionnez Direct Parallel et supprimez toutes les coches. Cet élément peut ne pas être si le serveur n'a pas un port parallèle pour l'imprimante ou il est désactivé dans le BIOS.
    À la fin, il doit y avoir une telle image.

    1.24. Passons au routage IP.

    1,25. Ici, nous devons déterminer immédiatement le pare-feu. Si vous avez sur le serveur n'est pas un pare-feu tiers, alors vous devez le comprendre séparément. Si ISA coûte, alors il doit être démoli. Il n'a pas besoin de travailler avec VPN. La question avec le pare-feu est très sérieuse - la décision finale quel pare-feu utiliser - pour vous. Je peux seulement dire que dans la version de base, vous pouvez configurer le pare-feu RASS intégré, bien qu'il soit très kooky, mais la tâche avec la distribution du trafic fonctionne presque complètement.

    1.26. Poussez la souris dans le GENERAL dans la fenêtre de gauche et vérifiez quelles interfaces sont présentes dans la fenêtre de droite. Il devrait y avoir à la fois des interfaces réseau (qui regarde sur Internet et qui regarde vers le réseau local), l'interface interne et la fermeture à elle-même, c.-à-d. dans votre cas 4 interfaces. Si elles sont manquantes ou manquantes, ajoutez-les en cliquant sur l'espace vide dans la fenêtre de droite et en sélectionnant NOUVELLE INTERFACE.

    1,27. Dans notre cas, le routage IP doit contenir 3 éléments GENERAL, STATIC ROUTES et NAT / SIMPLE FIREWALL. S'il n'y a pas quelque chose là ou quelque chose d'autre est présent, alors vous devez supprimer les inutiles, et ajouter les nécessaires en cliquant sur le COMMON et en sélectionnant l'article NEW ROUTE PROTOCOL.

    1.28. Article ROUTES STATIQUES dont nous n'avons pas besoin. Il doit y avoir vide. Nous ne pouvons pas l'enlever - c'est une partie intégrante du RASS. Nous passons directement au NAT.

    1,29. NAT est nécessaire pour convertir les adresses globales en adresses locales et vice versa. Poke la souris en NAT. Dans la fenêtre de droite, ajoutez une interface qui regarde Internet et allez dans ses propriétés (faites un clic droit dessus et sélectionnez PROPRIETES)


    1,30. Nous le déclarons comme l'interface commune pour la connexion à Internet et cochez la case pour activer NAT sur cette interface. La deuxième case à cocher pour activer le pare-feu principal de cette interface n'a pas besoin d'être définie si vous avez un pare-feu. Si le pare-feu n'est pas présent, il doit être installé, sinon votre serveur sera visible sur Internet. Nous appuyons sur OK. Plus dans NAT, vous n'avez pas besoin de configurer quoi que ce soit.

    1.31. Maintenant, si vous avez un pare-feu, le paramètre RASS peut être considéré comme terminé. Si vous ne l'avez pas, vous devez configurer des filtres de paquets pour bloquer la distribution d'Internet sur le réseau local et le démarrer dans le VPN.

    1,32. Pour cela, nous poussons sur GENERAL et allons dans les propriétés de l'interface qui regarde le réseau local. Appuyez sur le bouton OUTPUT FILTER. Dans la fenêtre ouverte, cliquez sur le bouton CREER. Nous cochons le réseau source et enregistrons notre réseau local ici. Dans votre cas 192.168.1.0/255.255.255.0. Nous disons OK. Nous appuyons sur la deuxième fois CREATE. Nous cochons le réseau source et enregistrons l'adresse IP du serveur VPN ici. Dans notre cas, 192.168.2.254/255.255.255.255. Nous disons OK. Nous sélectionnons l'action du filtre en haut - REJETER TOUS LES PAQUETS, SAUF CEUX QUI RÉPONDENT AU CASHNER CI-DESSOUS CRETERIA et cliquez sur OK.

    1,33. TOUT !!! Maintenant RASS est accordé !!!


    2. Installation de UTM.


    2.1. Exécutez le UTM5Setup. La langue est choisie en conséquence russe.

    2.2. D'abord mettre la voiture JAVA.

    2.3. Nous redémarrons UTM5Setup. Maintenant, mettez le reste en décochant JAVA. Avec une installation supplémentaire, il n'y a pas de trucs. Une fois l'installation terminée, vous devez accéder aux services et voir que MySQL-NT et UTM5_CORE sont démarrés. Si tout fonctionne, c'est génial.

    2.4. Ensuite, nous mettons RADIUS. Avec lui, il n'y a jamais de problème.

    2.5. Maintenant NDSAD. Ici, il y a beaucoup de problèmes. Pour que NDSAD collecte le trafic vers le VPN, vous devez disposer du pilote WinPCAP à partir de la version 3.1.

    2.6. Après le redémarrage, le service ndsad devrait démarrer. Si elle ne démarre pas, le serveur est occupé au port 9996, que ndsad utilise pour communiquer avec UTM.

    2.7. Maintenant, installez (si le service n'apparaît pas dans les services) utm5_rfw. Pour ce faire, exécutez la commande:

    utm5_rfw.exe --install.

    Après cela, utm5_rfw devrait apparaître dans les services.

    2.8. Maintenant, nous avons besoin d'un autre programme qui ne fait pas partie de UTM, mais sans lequel vous ne pouvez pas gérer les pannes de connexions VPN d'utilisateurs dont la balance a passé à 0. C'est utm5_kill_vpn.exe. Quand j'ai lancé UTM pour la première fois, j'ai découvert que lorsque je travaillais avec RASS, les développeurs Windows ne disposaient pas d'un mécanisme permettant de désactiver les connexions VPN. Soit dit en passant, la désactivation d'Internet est le problème le plus douloureux dans la plupart des systèmes de facturation. C'est bien qu'ils aient même écrit utm5_rfw, ce qui vous permet de transférer le contrôle à d'autres programmes, sinon il y aurait un tuyau. Ce programme doit être copié à la racine du disque c: Le circuit d'arrêt fonctionne comme ceci. UTM détecte que l'équilibre de l'utilisateur est devenu négatif. Il donne la commande utm5_rfw pour déconnecter l'utilisateur. Utm5_rfw appelle utm5_kill_vpn et donne la commande RASS Windows pour rompre la connexion VPN pour un certain utilisateur.

    (Pour que l'automate arrive à GAP =) dans UTM, allez à la section FIREWALL RULES, cliquez sur le bouton UPDATE. Nous supprimons tout sauf le premier. D'abord, nous appelons à l'édition. Mettez une coche - Tous les utilisateurs. L'ID utilisateur est 0, l'ID groupe est 0, l'ID tarifaire 0, l'activation - rien n'est écrit (doit être vide), l'arrêt est c: /utm5_kill_vpn.exe ULOGIN, l'ID du pare-feu est 1. La variable ULOGIN contient le nom de la connexion VPN et est transmise programme utm5_kill_vpn.exe pour désactiver le VPN correspondant.)


    2.9. Comme tout est installé. Maintenant, allez dans les paramètres.




    3. Configuration de UTM


    3.1. Fichiers de configuration

    3.1.1. UTM5.CFG

    database_type = mysql - type de base de données
    database = utm5 - nom de la base de données
    database_host = 127.0.0.1 - IP de l'ordinateur avec la base de données
    database_login = root - se connecter à la base de données
    database_password = - mot de passe de la base de données (pas de mot de passe)

    urfa_bind_host = 0.0.0.0 - IP à partir de laquelle nous nous connectons à la base de données (à partir de n'importe quel)

    urfa_lib_file = liburfa \ librpc.dll
    urfa_lib_file = liburfa \ liburfa_utils.dll
    urfa_lib_file = liburfa \ liburfa_card.dll
    urfa_lib_file = liburfa \ liburfa_hotspot.dll - bibliothèques pour l'exécution de modules externes
    urfa_lib_file = liburfa \ liburfa_graph.dll
    urfa_lib_file = liburfa \ liburfa_radius.dll

    nfbuffer_port = 9996 - Port de connexion NDSAD


    3.1.2. RADIUS5.CFG

    core_host = 127.0.0.1 - L'adresse IP sur laquelle réside UTM
    core_port = 11758 - port de connexion à UTM

    radius_login = rayon - connexion de l'utilisateur système
    radius_password = rayon - le mot de passe de l'utilisateur du système

    radius_auth_mppe = enable - Autorisation VPN

    radius_auth_vap = 1 - ne pas autoriser avec un solde négatif

    radius_ssl_type = none - type de cryptage (désactivé)

    radius_ippool_timeout = 0 - délai de réautorisation (immédiatement)
    radius_ippool_acct_timeout = 0 - libère l'IP immédiatement après une coupure de VPN


    3.1.3. RFW5.CFG

    rfw_name = 127.0.0.1 - le nom du pare-feu (IP est utilisé)

    firewall_type = local - type de pare-feu (local)

    core_host = 127.0.0.1 - Adresse IP de l'UTM
    core_port = 11758 - port de communication avec UTM

    rfw_login = web - connexion de l'utilisateur système
    rfw_password = web - mot de passe de l'utilisateur du système

    3.1.4. NDSAD.CFG

    dummy all - désactiver la collecte de statistiques à partir de n'importe quel périphérique, à l'exception de celles spécifiées dans la commande force, par exemple le trafic sera collecté uniquement sur le VPN

    force \ Device \ NPF_GenericDialupAdapter - le mode de collecte des statistiques sur le VPN

    nf_lifetime 1 - interrompt instantanément les sessions, lorsque la balance de l'utilisateur passe par 0


    3.1.5. WEB5.CFG

    core_host = 127.0.0.1 - Adresse IP de l'UTM

    web_login = web - login utilisateur système

    web_password = web - mot de passe de l'utilisateur du système


    3.1.6. Après avoir réparé les fichiers de configuration, vous devez redémarrer l'ordinateur pour que toutes les modifications prennent effet.

    4. Fichiers:


    Nom: NDSAD_setup_1_33.exe
    Lien pour télécharger le fichier: http://ifolder.ru/10599261

    Nom: utm5_kill_vpn.exe
    Lien pour télécharger le fichier: http://ifolder.ru/10599276

    UTM5 peut être téléchargé à http://www.netup.ru/

    Aussi dans le kit de UTM est l'apache et le muscle. Juste pour entrer dans l'administrateur web, vous devrez mettre OpenSSL et signer des certificats.Même si j'ai vu qu'il existe des versions alternatives de webmasters.